Если сайт взломали, действуйте в таком порядке: закройте доступ посетителям, смените все пароли, сделайте копию заражённого сайта для анализа, найдите и удалите вредоносный код (или восстановитесь из чистого бэкапа), закройте уязвимость, через которую вошли, и только потом снимайте предупреждения в Яндексе и Google. Ниже - подробный план на первые 24 часа: он написан по опыту реальных «реанимаций» сайтов на 1С-Битрикс и других CMS.

Главная ошибка - просто удалить «подозрительный файл» и жить дальше. Взломщик почти всегда оставляет несколько точек входа (бэкдоров). Удалите одну - через неделю сайт снова рассылает спам, а поисковики понижают его в выдаче. Лечение без поиска причины не работает.

Как понять, что сайт действительно взломан

Взлом не всегда выглядит как «сайт не работает». Чаще наоборот: внешне всё в порядке, а внутри сайт уже рассылает спам или показывает поисковикам скрытые страницы. Признаки, по которым взлом определяют быстрее всего:

  • Яндекс Вебмастер или Google Search Console прислали уведомление об угрозе безопасности
  • В поисковой выдаче у сайта появились чужие страницы: казино, реплики, иероглифы
  • С мобильных сайт редиректит на посторонние ресурсы, с компьютера - работает
  • Хостинг заблокировал сайт или пишет о рассылке спама с вашего домена
  • Браузер показывает красное предупреждение «Сайт может угрожать безопасности»
  • Резко выросла нагрузка на хостинг без роста посещаемости
  • В корне сайта появились файлы с непонятными именами и свежими датами
Проверка за 2 минуты. Откройте выдачу по запросу site:вашдомен.by в Яндексе и Google. Если среди результатов есть страницы, которых вы не создавали, - сайт заражён, даже если «всё работает».

Первые 24 часа: пошаговый план

  1. Закройте сайт на техобслуживаниеПоставьте заглушку с кодом ответа 503. Так вы не заражаете посетителей, не портите репутацию в поисковиках и спокойно работаете. В Битрикс это делается стандартной заглушкой, на любом сайте - правилом в .htaccess.
  2. Смените все пароли и доступыАдминка сайта, панель хостинга, FTP/SSH, база данных, почта, личный кабинет регистратора домена. Пароли делайте длинными и разными. Если у бывших подрядчиков остались доступы - отзовите.
  3. Сохраните «слепок» заражённого сайтаПолная копия файлов и базы до чистки. Она нужна для анализа: по датам изменения файлов и логам восстанавливается картина взлома - когда вошли, через что, что успели сделать.
  4. Найдите вредоносный кодПрогоните файлы сканером (AI-Bolit, ImunifyAV, встроенный сканер хостинга), проверьте файлы с недавними датами изменения, поищите характерные конструкции: eval, base64_decode, обфусцированные вставки. В Битрикс дополнительно помогает «Монитор качества» и поиск изменённых файлов ядра.
  5. Вылечите или восстановитесь из бэкапаЕсли есть заведомо чистая резервная копия до взлома - быстрее восстановиться из неё и перенести свежий контент. Если бэкапа нет, вычищайте заражение вручную: все найденные шеллы, бэкдоры, посторонние скрипты и задания планировщика.
  6. Закройте дыру, через которую вошлиОбновите CMS и все модули до актуальных версий, удалите неиспользуемые плагины и «нулёные» шаблоны, проверьте права на файлы (никаких 777), включите проактивную защиту. Без этого шага сайт взломают снова - обычно в течение месяца.
  7. Снимите санкции поисковиков и браузеровВ Яндекс Вебмастере и Google Search Console отправьте сайт на перепроверку, укажите, что угроза устранена. Пометка «опасный сайт» снимается за 1-3 дня после успешной проверки.

Нет времени разбираться? Вылечим сайт за 1-2 дня

Найдём и удалим вредоносный код, закроем уязвимости, снимем предупреждения Яндекса и Google. Работаем по договору, после лечения - месяц гарантийного наблюдения.

Заказать лечение сайта

Откуда берутся взломы: 5 типовых причин

За абсолютным большинством взломов стоит не «гениальный хакер», а автоматический сканер, который перебирает тысячи сайтов в поисках типовых дыр. Вот что он находит чаще всего:

ПричинаКак выглядитПрофилактика
Устаревшая CMS и модулиСайт не обновлялся месяцами, уязвимости давно опубликованыРегулярные обновления платформы и модулей
Слабые паролиadmin/123456, один пароль на всёДлинные уникальные пароли, двухфакторная авторизация
«Нулёные» шаблоны и модулиСкачанный бесплатно платный шаблон с сюрпризом внутриТолько официальный Маркетплейс и проверенные разработчики
Заражённый компьютер сотрудникаТроян украл сохранённые пароли из браузера и FTP-клиентаАнтивирус, менеджер паролей, доступы по ролям
Соседи по хостингуВзломали чужой сайт на том же сервере и дотянулись до вашегоИзоляция аккаунтов, нормальный хостинг, права на файлы

Сколько стоит лечение сайта

Ориентиры по рынку Беларуси: разовое лечение типового сайта - от 250 до 700 BYN в зависимости от объёма заражения и наличия бэкапов. Запущенные случаи (магазин с тысячами заражённых файлов, повторные взломы, восстановление без бэкапа) - дороже, считаются после экспресс-аудита. Для сравнения: месяц абонентской поддержки с обновлениями, бэкапами и мониторингом стоит от 250 BYN - то есть профилактика дешевле одного инцидента.

Совет. Просите у подрядчика не только «почистить файлы», но и письменный отчёт: что было заражено, через что вошли, что закрыто. Без ответа на вопрос «как вошли» лечение - лотерея.

Как защитить сайт от повторного взлома

Стопроцентной защиты не существует, но связка простых мер отсекает автоматические атаки - а именно они дают 9 из 10 взломов:

  • Обновляйте CMS и модули сразу после выхода обновлений безопасности
  • Включите проактивную защиту и веб-антивирус (в 1С-Битрикс они штатные)
  • Настройте автоматические резервные копии с хранением вне хостинга
  • Используйте двухфакторную авторизацию для админки
  • Раздайте сотрудникам минимально необходимые права вместо общего админа
  • Подключите мониторинг: изменения файлов, доступность, появление страниц в индексе
  • Раз в квартал делайте технический аудит: версии, права, лишние учётки
Сайт ломают не потому, что «кому-то интересен ваш бизнес», а потому что дверь была открыта. Задача владельца - чтобы автоматический сканер прошёл мимо, не найдя ни одной типовой дыры.Команда поддержки Alavir

Частые вопросы о взломе сайта

Можно ли просто восстановить сайт из бэкапа и всё?
Восстановление убирает заражение, но не причину. Если не закрыть уязвимость и не сменить пароли, сайт взломают той же дорогой - иногда в тот же день. Правильная последовательность: восстановление + смена доступов + обновления + закрытие дыры.
Сколько времени занимает лечение сайта?
Типовой случай - 1-2 рабочих дня: анализ, чистка, обновления, заявка на перепроверку в поисковиках. Ещё 1-3 дня уходит у Яндекса и Google на снятие предупреждений. Запущенные случаи с большим каталогом - до недели.
Упадут ли позиции сайта в поиске после взлома?
Если среагировать быстро - просадка минимальна и восстанавливается за 2-4 недели. Опасно тянуть: пока в индексе висят дорвеи и пометка «опасный сайт», позиции и трафик падают с каждым днём, а доверие поисковика восстанавливается медленно.
Хостинг заблокировал сайт за рассылку спама. Это взлом?
Почти всегда да: на сайт залили скрипт-рассыльщик. Запросите у хостинга логи и путь к заражённому файлу - это ускорит лечение. После чистки хостинг разблокирует сайт по заявке.
Сайт на 1С-Битрикс - его тоже ломают?
Ломают любой сайт, который не обновляют. У Битрикс сильная штатная защита (проактивный фильтр, веб-антивирус, контроль целостности), но она работает, только если платформа обновляется и защита включена. Обновления и настройку защиты мы делаем в рамках поддержки.

Итог: план действий одним списком

Закрыть сайт заглушкой, сменить все пароли, сохранить копию для анализа, найти и удалить заражение, обновить платформу и закрыть уязвимость, отправить сайт на перепроверку в Яндекс и Google, включить бэкапы и мониторинг. Всё это реально сделать самостоятельно за выходные, если есть технический опыт.

Если опыта нет или сайт нужен живым уже завтра - передайте задачу нам: техническая поддержка Alavir лечит взломы, настраивает защиту и берёт сайт под круглосуточный мониторинг. Консультация бесплатная: расскажите, что случилось, - за один день оценим масштаб и назовём точную стоимость. А чтобы больше не выбирать между «дорого лечить» и «страшно жить», посмотрите аудит и доработку сайта: находим слабые места до того, как их найдёт сканер злоумышленника.